Kapittel 4. Håndtering og beskyttelse av skjermingsverdig informasjon

§ 22. Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon

Når en virksomhet håndterer en risiko knyttet til ugradert skjermingsverdig informasjon etter § 13, skal tiltakene som et minimum sørge for at informasjonen ikke kan gå tapt, endres eller gjøres utilgjengelig med enkle midler. Dersom risikoen tilsier det, skal informasjonen også beskyttes mot avanserte angrepsmetoder.

Når virksomheten håndterer en risiko knyttet til informasjon gradert BEGRENSET, er kravet til et forsvarlig sikkerhetsnivå oppfylt dersom informasjonen ikke med enkle midler kan bli kjent for uautoriserte personer.

Ved valg av sikkerhetstiltak skal virksomheten se behovet for å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet i sammenheng og veie hensynene mot hverandre.

§ 23. Destruering av dokumenter og lagringsmedier med sikkerhetsgradert informasjon

Ved destruering av dokumenter og lagringsmedier som inneholder eller har inneholdt sikkerhetsgradert informasjon, skal det brukes en metode som gjør at det ikke er mulig å rekonstruere og lese informasjonen.

Dersom informasjonen er eller har vært gradert KONFIDENSIELT eller høyere, skal det benyttes et produkt som er evaluert etter § 16, til å destruere dokumentet eller lagringsmediet.

§ 24. Evakuering og ekstraordinær destruering i nødsituasjoner

En virksomhet skal for nødsituasjoner ha en evakueringsplan og en plan for destruering av dokumenter og lagringsmedier med skjermingsverdig informasjon.

§ 25. Utlevering av sikkerhetsgradert informasjon til fremmede stater og internasjonale organisasjoner

Fremmede stater og internasjonale organisasjoner kan bare gis tilgang til norsk sikkerhetsgradert informasjon dersom det

a.
er i samsvar med nasjonale sikkerhetsinteresser
b.
ikke er i strid med lovbestemt taushetsplikt og
c.
foreligger en sikkerhetsavtale mellom Norge og den aktuelle staten eller internasjonale organisasjonen.

Når myndigheter eller virksomheter i andre stater eller internasjonale organisasjoner skal ha tilgang til sikkerhetsgradert informasjon, skal informasjonen behandles i samsvar med bestemmelsene i sikkerhetsavtalen som er inngått mellom Norge og den aktuelle staten eller organisasjonen.

Dersom det ikke er praktisk mulig å inngå en sikkerhetsavtale, men det likevel er i Norges interesse å utlevere informasjonen, kan Forsvarsdepartementet og Justis- og beredskapsdepartementet gjøre unntak fra kravet til sikkerhetsavtale innenfor sine fagsektorer.

§ 26. Tilsvarende sikkerhetsgrader

Informasjon som er sikkerhetsgradert av en fremmed stat eller internasjonal organisasjon, skal beskyttes på samme måte som informasjon gradert med en tilsvarende norsk sikkerhetsgrad etter sikkerhetsloven § 5-3.

Nasjonal sikkerhetsmyndighet fastsetter hvilke sikkerhetsgrader fastsatt av fremmede stater eller internasjonale organisasjoner som tilsvarer de norske sikkerhetsgradene etter sikkerhetsloven § 5-3.

§ 27. Kryptering

En virksomhet skal kryptere sikkerhetsgradert informasjon som sendes elektronisk ut av et fysisk område som virksomheten kontrollerer.

Sikkerhetsgradert informasjon som er lagret hos virksomheten, skal krypteres dersom informasjonen ikke er sikret med andre sikkerhetstiltak som gir det samme sikkerhetsnivået som kryptering.

Kryptomateriellet som brukes til å kryptere informasjonen, skal sikres på det samme sikkerhetsnivået som informasjonen det beskytter.

Materiellet skal forvaltes i samsvar med kravene til implementering, bruk, drift og forvaltning som Nasjonal sikkerhetsmyndighet etter sikkerhetsloven § 5-6 har fastsatt som en del av godkjenningen. Nasjonal sikkerhetsmyndighet bestemmer hvilket materiell som kan brukes til å kryptere informasjon gradert KONFIDENSIELT eller høyere.

Forsvarsdepartementet kan gi forskrift om krav til kryptering og beskyttelse av kryptomateriell.